Usar serviços avançados de rede de contêiner no cluster do AKS (Serviço de Kubernetes do Azure)

Este artigo descreve como habilitar e desabilitar os Serviços Avançados de Rede de Contêiner, incluindo a Observabilidade de Rede de Contêiner e a Segurança de Rede de Contêiner, em seus clusters do AKS.

Pré-requisitos

Uma conta do Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta gratuita antes de começar.
CLI do Azure versão 2.71.0 ou superior. Localize sua versão usando o az --version comando. Para instalar ou atualizar, confira Instalar a CLI do Azure.
Instale a extensão CLI do Azure versão 14.0.0b6 ou superior.
Registrar o AdvancedNetworkingL7PolicyPreview sinalizador de recurso na sua assinatura.
Os clusters que têm o plano de dados Cilium dão suporte à Observabilidade de Rede de Contêiner e à Segurança de Rede de Contêiner no Kubernetes versão 1.29 e posterior.

Instale a extensão `aks-preview` da CLI do Azure

Instale ou atualize a extensão de visualização do Azure CLI usando o comando az extension add ou o comando az extension update.

# Install the aks-preview extension
az extension add --name aks-preview

# Update the extension to make sure you have the latest version installed
az extension update --name aks-preview

Registrar o sinalizador de recurso `AdvancedNetworkingL7PolicyPreview`

Registre o sinalizador de recurso AdvancedNetworkingL7PolicyPreview usando o comando az feature register.
```
az feature register --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"
```
O registro leva alguns minutos para ser concluído.

Verifique o registro bem-sucedido usando o az feature show comando.

az feature show --namespace "Microsoft.ContainerService" --name "AdvancedNetworkingL7PolicyPreview"

Definir variáveis de ambiente

Os exemplos neste artigo usam as seguintes variáveis de ambiente:

Variable	Description	Valor de exemplo
`RESOURCE_GROUP`	Nome do grupo de recursos do Azure	`myResourceGroup`
`LOCATION`	Região do Azure para recursos	`eastus`
`CLUSTER_NAME`	Nome do cluster do AKS	`myAKSCluster`

Todos os comandos neste artigo pressupõem que essas variáveis de ambiente estão definidas. Substitua os valores de exemplo por seus próprios valores.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Criar um cluster do AKS com serviços avançados de rede de contêiner

Observação

Quando o --acns-advanced-networkpolicies parâmetro é definido como L7, as políticas de filtragem FQDN (nome de domínio totalmente qualificado) e camada 7 são habilitadas. Se você quiser habilitar apenas a filtragem de FQDN, defina o parâmetro como FQDN.

Crie um cluster do AKS com os serviços avançados de rede de contêiner e o Cilium, usando o comando az aks create com os sinalizadores --enable-acns e --network-dataplane cilium.

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --network-dataplane cilium \
    --kubernetes-version 1.29 \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>

Importante

O recurso segurança de rede de contêiner não está disponível para clusters não Cilium.

Crie um cluster do AKS com os Serviços Avançados de Rede de Contêineres usando o comando az aks create com o sinalizador --enable-acns.

az aks create \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --network-plugin azure \
    --network-plugin-mode overlay \
    --enable-acns

Habilitar Serviços Avançados de Rede de Contêineres em um cluster existente

Habilite os Serviços Avançados de Rede de Contêineres em um cluster AKS existente com o Cilium usando o comando az aks update com um sinalizador --enable-acns.
```
az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --acns-advanced-networkpolicies <L7/FQDN>
```

Habilite os Serviços Avançados de Rede de Contêineres em um cluster AKS existente com o Cilium usando o comando az aks update com um sinalizador --enable-acns.
```
az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns
```

Desabilitar serviços avançados de rede de contêiner em um cluster do AKS

Desabilite os Serviços Avançados de Rede de Contêineres em um cluster AKS existente com o Cilium usando o comando az aks update com um sinalizador --disable-acns.
```
az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns
```

Desabilitar a Observabilidade de Rede de Contêiner em um cluster do AKS

Desative o recurso de Observabilidade de Rede de Contêiner sem afetar outros recursos dos Serviços Avançados de Rede de Contêiner usando o comando az aks update com a flag --disable-acns-observability.
```
az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-observability 
```

A Observabilidade de Rede de Contêiner é o único recurso disponível para clusters não Cilium, portanto, você só pode desabilitá-lo desabilitando todo o pacote serviços de rede de contêiner avançado.

Desabilite o recurso de Observabilidade de Rede de Contêiner em um cluster do AKS existente usando o comando az aks update com o parâmetro --disable-acns.
```
az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --disable-acns 
```

Desabilitar a Segurança de Rede de Contêiner em um cluster do AKS

Desabilite o recurso de segurança da rede de contêineres sem afetar outros recursos avançados dos Serviços de Rede de Contêiner, usando o comando az aks update com a flag --disable-acns-security.
```
az aks update \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --enable-acns \
    --disable-acns-security
```

Comentários

Esta página foi útil?

Last updated on 2026-01-07